Décret n° 2007-451 du 25 mars 2007 modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004
Le Premier ministre,
Sur le rapport du garde des sceaux, ministre de la justice,
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de justice administrative ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée ;
Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure modifiée ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la saisine du gouvernement de la Nouvelle-Calédonie en date du 13 décembre 2006 ;
Vu la saisine du gouvernement de la Polynésie française en date du 13 décembre 2006 ;
Vu la saisine du conseil général de Mayotte en date du 12 décembre 2006 ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 28 septembre 2006 ;
Le Conseil d’Etat (section de l’intérieur) entendu,
Décrète :
Chapitre Ier
Dispositions modifiant le décret n° 2005-1309 du 20 octobre 2005
Article
1
Le décret du 20 octobre 2005 susvisé est modifié conformément aux dispositions des articles 2 à 17 du présent décret.
Article 2
L’article 4 est complété par deux alinéas ainsi rédigés :
« Sauf lorsqu’elle statue en application des troisième et cinquième alinéas de l’article 16 de la loi du 6 janvier 1978 susvisée, la commission ne peut valablement délibérer que si le projet de délibération et, le cas échéant, le rapport y afférent, relatifs aux dossiers inscrits à l’ordre du jour d’une séance sont parvenus au commissaire du Gouvernement huit jours au moins avant la date de la séance.
« Le commissaire du Gouvernement peut consulter dans le même délai, sur place et sur pièces, les dossiers inscrits à l’ordre du jour. »
Article 3
Après l’article 6, il est inséré un article 6-1 ainsi rédigé :
« Art. 6-1. - I. - La Commission nationale de l’informatique et des libertés, saisie dans le cadre du a du 4° de l’article 11 de la loi du 6 janvier 1978 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d’avis du Gouvernement. Ce délai peut être prolongé d’un mois sur décision motivée du président de la commission.
En cas d’urgence, ce délai est ramené à un mois à la demande du Gouvernement.
Lorsqu’il n’est pas rendu à l’expiration des délais prévus aux alinéas précédents, l’avis demandé à la commission est réputé donné.
II. - La commission, saisie dans le cadre du d du 2° de l’article 11 de la loi du 6 janvier 1978 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande. Ce délai peut être prolongé d’un mois sur décision motivée du président de la commission. »
Article 4
I. - Aux troisième et sixième alinéas de l’article 8, aux premiers alinéas des articles 15, 28 et 30, aux articles 42 et 45, au premier alinéa de l’article 53, au deuxième alinéa de l’article 66, au dernier alinéa de l’article 73, au premier alinéa de l’article 75, à l’article 76 et au dernier alinéa de l’article 78, les mots : « lettre recommandée avec demande d’avis de réception » sont remplacés par les mots : « lettre remise contre signature ».
II. - A l’article 55, les mots : « lettre recommandée avec accusé de réception » sont remplacés par les mots : « lettre remise contre signature ».
III. - Au second alinéa de l’article 86, les mots : « sous pli recommandé sans avis de réception » sont remplacés par les mots : « par lettre remise contre signature ».
Article 5
L’article 16 est remplacé par les dispositions suivantes :
« Art. 16. - I. - Le dossier produit à l’appui d’une demande d’avis présentée en application des articles 26 ou 27 de la loi du 6 janvier 1978 susvisée comporte en annexe le projet d’acte autorisant le traitement, mentionné à l’article 29 de la même loi.
« II. - Les demandes d’avis portant sur les traitements dont la liste est fixée en application du dernier alinéa du I de l’article 30 de la loi du 6 janvier 1978 susvisée comportent, au minimum, les mentions suivantes :
« 1° L’identité et l’adresse du responsable du traitement ;
« 2° La ou les finalités du traitement, s’il y a lieu, la dénomination du traitement ;
« 3° Le ou les services chargés de la mise en oeuvre du traitement ;
« 4° Le service auprès duquel s’exerce le droit d’accès indirect prévu à l’article 41 de la loi du 6 janvier 1978 susvisée ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
« 5° Les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
« 6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
« 7° Le cas échéant, les interconnexions, les rapprochements ou toute autre forme de mise en relation avec d’autres traitements. »
Article 6
Le titre II est complété par un chapitre VI ainsi rédigé :
« Chapitre VI
« Dispositions particulières relatives aux demandes d’autorisation de traitements de données à caractère personnel à des fins autres qu’historiques, statistiques ou scientifiques et dont la durée de conservation excède la durée initiale du traitement
« Art. 41-1. - Le responsable d’un traitement de données à caractère personnel demandant une autorisation de la Commission nationale de l’informatique et des libertés au titre du troisième alinéa de l’article 36 de la loi du 6 janvier 1978 susvisée présente sa demande selon les modalités prévues aux articles 7 à 11 et 15 à 19 du présent décret.
« La demande d’autorisation ne fait pas obstacle à la délivrance du récépissé de déclaration prévue au I de l’article 23 de la même loi. »
Article 7
Au second alinéa de l’article 75, le mot : « national » est remplacé par le mot : « métropolitain ».
Article 8
L’article 81 est remplacé par les dispositions suivantes :
« Art. 81. - I. - Lorsqu’il est saisi en application des dispositions du I de l’article 39 ou du III de l’article 45 de la loi du 6 janvier 1978 susvisée, le juge administratif statue dans les conditions définies au chapitre 5 du titre V du livre cinquième du code de justice administrative (partie réglementaire).
« II. - Lorsqu’il est saisi en application des dispositions du III de l’article 45 de la loi du 6 janvier 1978 susvisée, le juge judiciaire statue dans les conditions définies à la section IV du chapitre II du titre Ier du livre troisième du code de l’organisation judiciaire (partie réglementaire). »
Article 9
L’article 82 est abrogé.
Article 10
Le deuxième alinéa de l’article 87 est remplacé par les dispositions suivantes :
« Le responsable du traitement dispose pour réaliser ses investigations d’un délai de trois mois à compter de la date de réception de la transmission par la commission de la demande d’accès. Ce délai peut être prorogé d’un mois supplémentaire lorsque le traitement de la demande nécessite des investigations complexes. La commission en est informée par le responsable du traitement. Le délai visé à l’alinéa précédent est alors porté à cinq mois. Le délai dont bénéficie le responsable du traitement s’impute sur le délai prévu à l’alinéa précédent. »
Article 11
Après l’article 87, il est inséré un article 87-1 ainsi rédigé :
« Art. 87-1. - I. - Lorsque l’acte réglementaire créant un traitement mentionné au I de l’article 21 de la loi du 18 mars 2003 susvisée prévoit un droit d’accès indirect, les demandes concernant le traitement de données à caractère personnel placé sous le contrôle du procureur de la République sont instruites selon les modalités suivantes :
« La demande est adressée à la Commission nationale de l’informatique et des libertés. Elle est traitée dans les conditions prévues au premier alinéa de l’article 87 dans un délai de six mois. Dès réception de la demande, le responsable du traitement dispose d’un délai d’un mois et demi pour saisir le procureur de la République. Ce délai peut être prorogé d’un mois supplémentaire si le traitement de la demande nécessite des investigations complexes. La commission en est informée par le responsable du traitement. Le procureur de la République dispose d’un délai de trois mois pour se prononcer sur les suites qu’il convient de réserver à la demande. Il communique ses prescriptions au responsable du traitement qui, dans un délai de quinze jours, informe la commission des suites réservées à la demande.
« II. - Toutefois, lorsque l’acte réglementaire visé au I prévoit également l’exercice d’un droit d’accès indirect auprès du procureur de la République, les demandes sont instruites selon les modalités suivantes :
« Le procureur de la République se prononce sur les suites qu’il convient de lui réserver dans un délai de trois mois. Il communique ses prescriptions au responsable du traitement qui, dans un délai d’un mois, informe la Commission nationale de l’informatique et des libertés des suites réservées à la demande de l’intéressé. La commission porte sans délai la décision du responsable du traitement à la connaissance de l’intéressé. »
Article 12
Au second alinéa de l’article 89, les mots : « et après accord du procureur de la République » sont supprimés.
Article 13
I. - Les titres VI, VII et VIII deviennent respectivement les titres VIII, IX et X.
II. - L’article 92 est abrogé.
III. - Les articles 90 et 91 deviennent respectivement les articles 110 et 111 et les articles 93 à 100 deviennent respectivement les articles 112 à 119.
Article 14
Après l’article 89, il est inséré un titre VI dont l’intitulé est ainsi rédigé :
« TITRE VI
« DES OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DES DROITS DES PERSONNES
Chapitre Ier « L’obligation d’information incombant aux responsables de traitements
« Art. 90. - Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l’article 32 de la loi du 6 janvier 1978 susvisée sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I du même article, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d’opposition, d’accès et de rectification. Lorsque la collecte des données est opérée oralement à distance, il est donné lecture de ces informations aux intéressés en leur indiquant qu’ils peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit.
« Les informations mentionnées à l’alinéa précédent peuvent être communiquées aux intéressés, avec leur accord, par voie électronique.
« Lorsque les informations sont portées à la connaissance de l’intéressé par voie d’affichage, il lui est indiqué qu’il peut, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit.
« Art. 91. - Les informations figurant au 7° du I de l’article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l’article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :
« 1° Le ou les pays d’établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;
« 2° La nature des données transférées ;
« 3° La finalité du transfert envisagé ;
« 4° La ou les catégories de destinataires des données ;
« 5° Le niveau de protection offert par le ou les pays tiers :
« a) Si le ou les pays tiers figurent dans la liste prévue à l’article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ;
« b) Si le ou les pays tiers ne satisfont pas aux conditions prévues à l’article 68 de la même loi, il est fait mention de l’exception prévue à l’article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l’informatique et des libertés autorisant ce transfert.
« Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l’intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l’article 94.
« Chapitre II
« Les droits des personnes à l’égard des traitements de données à caractère personnel
« Section 1 « Dispositions communes
« Art. 92. - Les demandes tendant à la mise en oeuvre des droits prévus aux articles 38 à 40 de la loi du 6 janvier 1978 susvisée, lorsqu’elles sont présentées par écrit au responsable du traitement, sont signées et accompagnées de la photocopie d’un titre d’identité portant la signature du titulaire. Elles précisent l’adresse à laquelle doit parvenir la réponse. Lorsqu’il existe un doute sur l’adresse indiquée ou sur l’identité du demandeur, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l’adresse ou de l’identité du demandeur s’effectuant lors de la délivrance du pli.
« Lorsque le responsable du traitement ou, en application des articles 49 et 50, le correspondant à la protection des données n’est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l’autorité publique, du service ou de l’organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.
« Art. 93. - Lorsqu’une demande est présentée sur place, l’intéressé justifie par tout moyen de son identité auprès du responsable du traitement. Il peut se faire assister d’un conseil de son choix. La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, après justification de son mandat, de son identité et de l’identité du mandant.
« Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
« Art. 94. - Le responsable du traitement répond à la demande présentée par l’intéressé dans le délai de deux mois suivant sa réception.
« Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l’expiration du délai prévu à l’alinéa précédent. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d’information suspend le délai prévu à l’alinéa précédent.
« Sauf lorsque la demande est manifestement abusive, les décisions du responsable du traitement de ne pas donner une suite favorable à la demande qui lui est présentée sont motivées et mentionnent les voies et délais de recours ouverts pour les contester.
« Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus.
« Art. 95. - Les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d’un lexique.
« Section 2
« Dispositions particulières au droit d’opposition
« Art. 96. - Pour faciliter l’exercice du droit d’opposition prévu au deuxième alinéa de l’article 38 de la loi du 6 janvier 1978 susvisée, l’intéressé est mis en mesure d’exprimer son choix avant la validation définitive de ses réponses.
Lorsque la collecte des données intervient par voie orale, l’intéressé est mis en mesure d’exercer son droit d’opposition avant la fin de la collecte des données le concernant.
« Art. 97. - Le responsable du traitement auprès duquel le droit d’opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu’il a rendu destinataire des données à caractère personnel qui font l’objet de l’opposition.
« Section 3
« Disposition particulière au droit d’accès direct
« Art. 98. - La demande d’accès peut être effectuée par écrit.
« Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n’est possible que sous réserve de la protection des données personnelles des tiers. Sauf disposition législative ou réglementaire contraire, une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
« Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l’intéressé toutes les données qui le concernent et pendant une durée suffisante.
« Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.
« Section 4
« Dispositions particulières au droit de rectification
« Art. 99. - Lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers. Celui-ci procède également sans délai à la rectification.
« Art. 100. - Outre la justification de son identité, l’héritier d’une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, apporter la preuve de sa qualité d’héritier par la production d’un acte de notoriété ou d’un livret de famille. »
Article 15
Après l’article 100, il est inséré un titre VII ainsi rédigé :
« TITRE VII
« DES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS LES ÉTATS N’APPARTENANT PAS À LA COMMUNAUTÉ EUROPÉENNE
« Chapitre Ier
« Formalités préalables incombant aux responsables de traitements envisageant un transfert de données à caractère personnel
« Art. 101. - Lorsque le responsable du traitement envisage le transfert de données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne et que cet ou ces Etats sont au nombre de ceux pour lesquels la Commission européenne considère qu’ils assurent un niveau de protection suffisant des données à caractère personnel, il est satisfait à l’exigence requise au 10° du I de l’article 30 de la loi du 6 janvier 1978 susvisée en mentionnant :
« 1° Le ou les pays d’établissement du ou des destinataires du transfert ;
« 2° La ou les finalités générales du transfert ;
« 3° La nature du ou des traitements opérés chez le ou les destinataires ;
« 4° La ou les catégories de données à caractère personnel transférées ;
« 5° La ou les catégories de personnes intéressées par le transfert de données ;
« 6° La ou les catégories de tiers qui seront rendus destinataires des données transférées.
Art. 102. - Lorsque le responsable du traitement envisage un transfert de données à caractère personnel vers un pays qui ne figure pas dans la liste prévue à l’article 108 et qu’il invoque pour justifier ce transfert une exception prévue aux 1° à 6° de l’article 69 de la loi du 6 janvier 1978 susvisée, il indique à la commission, outre les informations prévues à l’article 101, laquelle de ces exceptions il invoque.
Art. 103. - Lorsque le responsable de traitement envisage un transfert de données à caractère personnel qui requiert une décision ou un avis prévus à l’avant-dernier alinéa de l’article 69 de la loi du 6 janvier 1978 susvisée, il précise à la commission, outre les informations prévues à l’article 101, les mesures ou le dispositif destinés à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.
«
La commission se prononce, pour ce qui concerne les autorisations de
transfert, selon la procédure prévue au III de
l’article 25 de la loi susmentionnée, et, pour ce qui
concerne les avis sur les transferts, selon la procédure
prévue à l’article 28 de la même loi.
« Art. 104. - Les informations prévues aux articles 101 à 103 sont adressées à la commission dans les conditions prévues à l’article 8.
« Art. 105. - Lorsque le responsable du traitement envisage un transfert de données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne ne présentant pas un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, postérieurement à la mise en oeuvre d’un traitement, il est fait application des dispositions des articles 101 à 103, y compris pour les transferts de données issues d’un traitement initialement dispensé de déclaration en application du II ou du III de l’article 22 de la loi du 6 janvier 1978 susvisée ou d’un traitement autorisé en application du II de l’article 25 de la même loi.
« Le responsable d’un traitement visé au III de l’article 22 de la loi précitée procède alors concomitamment aux formalités de déclaration prévues au titre II.
« Art. 106. - En cas de modification substantielle affectant les informations requises aux articles 101 à 103, la commission est informée sans délai dans les conditions prévues à l’article 8.
« Le responsable du traitement ne communique aux personnes intéressées les informations figurant à l’article 91 que lorsque la modification substantielle est de nature à rendre insuffisante leur information.
« Chapitre II
« Informations des responsables de traitements, du public et des autorités européennes
« Art. 107. - Les décisions que la commission adopte en application de l’avant-dernier alinéa de l’article 69 et de l’article 70 de la loi du 6 janvier 1978 susvisée sont notifiées au responsable du traitement par lettre remise contre signature dans un délai de huit jours. Ces décisions mentionnent les voies et délais de recours ouverts au responsable du traitement pour les contester.
« Elles sont transmises au commissaire du Gouvernement.
«
Les décisions par lesquelles la commission autorise ou suspend
les transferts de données à caractère personnel
vers des Etats n’appartenant pas à la Communauté
européenne sont notifiées, dans les huit jours suivant
leur adoption, à la Commission européenne.
« La commission informe dans le même délai les autorités de contrôle des autres Etats membres de la Communauté européenne des décisions d’autorisation mentionnées à l’alinéa précédent.
«
Art. 108. - La commission met à la disposition du public la
liste des décisions de la Commission européenne
concernant le niveau de protection offert par les Etats n’appartenant
pas à la Communauté européenne au regard de la
vie privée, des libertés et droits fondamentaux et à
l’égard d’un transfert ou d’une catégorie
de transferts de données à caractère personnel.
Elle actualise cette liste au fur et à mesure de la
publication des décisions de la Commission européenne
au Journal officiel de l’Union européenne.
« Elle met également à la disposition du public les clauses contractuelles types approuvées par la Commission européenne.
« Art. 109. - Lorsque les avis émis en application de l’avant-dernier alinéa de l’article 69 de la loi du 6 janvier 1978 susvisée portent sur un traitement faisant l’objet d’une dispense de publication de l’acte réglementaire autorisant sa création, ils sont publiés dans les conditions prévues à l’article 83. »
Article 16
I. - L’article 111 est modifié ainsi qu’il suit :
1° Au 4°, les mots : « 61 et 89 » sont remplacés par les mots : « 61 et 87-1 » ;
2° Il est ajouté les alinéas suivants :
« 8° Au premier alinéa de l’article 94, les mots : “dans le délai de deux mois sont remplacés par les mots : “dans le délai de trois mois ;
«
9° A l’article 100, les mots : “par la production
d’un acte de notoriété ou d’un livret de
famille sont remplacés par les mots : “par tous moyens.
»
II. - A l’article 113, les mots : « L’article R. 555-1 du code de justice administrative est applicable » sont remplacés par les mots : « Les articles R. 555-1 et R. 55-2 du code de justice administrative sont applicables ».
Article 17
Dans l’intitulé du décret, les mots : « , modifiée par la loi n° 2004-801 du 6 août 2004 » sont supprimés.
Chapitre II Dispositions finales
Article 18
Au chapitre 5 du titre V du livre cinquième du code de justice administrative (partie réglementaire), il est inséré, après l’article R. 555-1, un article R. 555-2 ainsi rédigé :
« Art. R. 555-2. - Lorsque le juge administratif est saisi, sur le fondement du I de l’article 39 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, d’une demande en référé relative au prononcé de toutes mesures utiles de nature à éviter toute dissimulation ou toute disparition de données à caractère personnel par l’Etat, une collectivité territoriale, toute autre personne publique ainsi que toute personne privée chargée d’une mission de service public, il est statué suivant la procédure de référé instituée par les dispositions de l’article L. 521-3. »
Article 19
Le décret n° 82-525 du 16 juin 1982 relatif à la redevance prévue à l’article 35 (alinéa 2) de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est abrogé.
Article 20
Les dispositions du présent décret sont applicables à Mayotte, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises.
Article 21
Le ministre d’Etat, ministre de l’intérieur et de l’aménagement du territoire, la ministre de la défense, le ministre de l’économie, des finances et de l’industrie, le garde des sceaux, ministre de la justice, et le ministre de l’outre-mer sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 25 mars 2007.